Это ваш «мозг», который помнит все пароли.
Забудьте о том, чтобы вечно вспоминать пароли
Защитите свою семью от киберпреступников с планом Keeper Family.
Медсестры, врачи, сотрудники больниц, военнослужащие и службы быстрого реагирования. Получите скидку 30%. Подписки на 1 год.
Защитите свои пароли и личную информацию от хакеров
Присоединитесь к миллионам людей, использующим Keeper для защиты своих паролей и приватной информации. Вам больше не придется помнить свои пароли или беспокоиться о них.
Нам доверяют миллионы людей
Люблю это приложение!
Это приложение просто спасает меня! Я всегда использую его для всех своих паролей при каждом удобном случае!
НЕТ другого такого, как KEEPER
Я заимел Keeper с самого начала. Честно, я не мог бы жить без него. Разработчики постоянно обновляют его. С ними легко связаться, они просто делают жизнь куда более безопасной и легкой.
Очень безопасно, удобно
Я действительно люблю это приложение. Я очень строгий критик, но это приложение превзошло мои ожидания во всех отношениях.
Keeper обеспечивает вашу безопасность и продуктивность в Интернете
Защищает вас от атак программ-вымогателей
Keeper предотвращает атаки программ-вымогателей, создавая случайные надежные пароли для каждого веб-сайта, приложения и службы, которые вы используете. Keeper BreachWatch ® мониторит «Даркнет» и предупреждает вас о необходимости принять меры, если киберпреступники получают ваши учетные данные в результате утечки данных.
Больше не нужно помнить пароли
Keeper генерирует очень надежные пароли случайным образом для всех ваших сайтов и приложений.
Повышает вашу продуктивность
Входите на свои веб-сайты и в приложения с помощью отпечатка пальца или путем распознавания лица.
Укрепляет вашу безопасность в Интернете
Ваши пароли и частная информация хранятся в вашем личном зашифрованном хранилище.
Защищает вас на всех ваших устройствах
Работает на любом используемом вами устройстве или компьютере и мгновенно синхронизирует данные между ними.
Основные характеристики
Автоматический ввод паролей с KeeperFill ®
KeeperFill генерирует надежные пароли случайным образом и автоматически вводит их в ваших приложениях и на веб-сайтах.
Личная и платежная информация
Безопасно сканируйте и храните свои платежные карты в целях быстрой оплаты на веб-сайтах и в приложениях.
Настраиваемые поля
Используя персонализированные поля, Keeper упрощает организацию и защиту всей вашей важной информации, такой как номер паспорта или водительское удостоверение, в рамках ваших записей.
Безопасное Файловое Хранилище
Защищает важнейшие ваши файлы, документы, фото и видео в высшей степени надежном, зашифрованном цифровом хранилище.
Экстренный доступ
Keeper поддерживает возможность добавления до 5 контактов на экстренный случай, которым будет предоставлен доступ к хранилищу в экстренном случае или в случае смерти.
Двухфакторная проверка подлинности
Keeper поддерживает все методы двухфакторной аутентификации, включая TOTP, SMS, вход по отпечатку пальца (например, Touch ID), Face ID и ключи шифрования U2F (например, YubiKey).
Безопасный обмен информацией
Безопасно создавайте записи, управляйте ими и делитесь ими с родственниками, друзьями и коллегами.
История версий
Вы можете сохранять и восстанавливать предыдущие версии своих записей в любое время.
Бесплатный 30-дневный пробный период
Опробуйте Keeper Unlimited бесплатно в течение 30 дней и узнайте, как можно легко защитить свои пароли и частную информацию от киберпреступников.
Во время пробного периода вы сможете:
Не станьте следующей жертвой атаки программ-вымогателей
Keeper защищает вас, вашу семью и бизнес от утечки данных и киберугроз, связанных с паролями.
Кибербезопасность начинается с безопасности паролей.
Keeper – лидирующее программное обеспечение для обеспечения кибербезопасности, которое защищает миллионы людей и тысячи предприятий по всему миру.
Кибербезопасность начинается здесь ®
Защитите свой бизнес
Наша платформа обеспечения безопасности с нулевым разглашением данных подстраивается под размер и требования вашей организации.
Для компаний, которым требуется расширенная инициализация, инструменты отчетности и делегированное администрирование; узнайте подробнее о Keeper Enterprise.
Защитите себя и свою семью
Присоединяйтесь к миллионам людей, использующим Keeper для защиты своих паролей и конфиденциальной информации.
Защитите онлайн-приватность своей семьи с помощью Keeper Family.
Передовое решение для вашего бизнеса
Keeper управляет вашими паролями, чтобы предупредить взлом данных, повысить продуктивность сотрудников, снизить затраты на техническую поддержку и соответствовать нормативам.
Почему все больше компаний выбирают Keeper
Самая передовая защита
Keeper использует запатентованную безопасную архитектуру с нулевым уровнем разглашения данных и прошел больше всего проверок и получил больше всего сертификатов среди всех продуктов, имеющихся на рынке. Keeper защищает ваш бизнес и клиентские данные по стандартам приватности, безопасности и конфиденциальности, принятым в вашей отрасли.
Легкость использования
Keeper имеет интуитивно понятный пользовательский интерфейс для компьютеров, смартфонов и планшетов. Решение Keeper можно быстро развернуть без предварительных затрат на оборудование и установку.
Максимальная гибкость
Настраиваемые роли, разрешения на основе ролей и административные права в Keeper соответствуют вашей организационной структуре и политикам. Keeper масштабируется для бизнеса любого масштаба.
Безопасный обмен учетными данными и секретами
Keeper позволяет ИТ-администраторам обеспечивать безопасный, детализированный и контролируемый обмен учетными данными, секретами и хранилищами между сотрудниками и группами.
Надежное соответствие нормативным требованиям и отчетность
Оперативная поддержка
Бизнес-пользователи имеют доступ к круглосуточной клиентской поддержке и эксклюзивным учебным курсам, проводимым выделенными специалистами по технической поддержке.
Нам доверяют миллионы людей и тысячи компаний
Cyril E.
Старший разработчик программного обеспечения в VOSS
Elizabeth W.
Менеджер по качеству шасси в Jaguar Land Rover
“Лучший менеджер паролей с доступным хранилищем данных. Я использую его в течение 10 лет и не могу представить, как можно обходиться без Keeper.”
J.C. R.
Инженер видеосети в SAIC @ NIH
Dina S.
Менеджер по системам и данным в Vantage Partners
Начните сегодня
Защитите уязвимые точки своего бизнеса, улучшив политику управления паролями и безопасность.
Keeper фанатически относимся к защите данных и безопасности управления паролями
Keeper использует лучшую в своем классе систему безопасности с моделью нулевого доверия и безопасной архитектурой с нулевым разглашением данных, чтобы защищать вашу информацию и снижать риск взлома данных.
Лучшая в своем классе безопасность Keeper
Личный мастер-пароль
ТОЛЬКО пользователь знает свой мастер-пароль и имеет доступ к нему и ключу, использующемуся для шифрования и дешифрования его информации.
Самое надежное шифрование
Keeper защищает вашу информацию с использованием 256-разрядного шифрования AES и стандарта PBKDF2 для формирования ключа, что широко признано в качестве самого надежного способа шифрования.
Глубокое шифрование
Пользовательские данные шифруются и дешифруются на уровне устройства, а не на серверах Keeper или в облаке.
Многофакторная аутентификация
Keeper поддерживает многофакторную аутентификацию, биометрический вход и систему Keeper DNA, которая использует Apple Watch или Android Wear для подтверждения вашей личности.
Сертификат FIPS 140-2
Keeper использует криптографический модуль, который был сертифицирован и подтвержден программы NIST Cryptographic Module Verification Program (CMVP) в соответствии со стандартом FIPS 140-2.
Защищенное/надежное облачное хранилище
Keeper использует инфраструктуру Amazon AWS в различных географических местах, чтобы размещать хранилища Keeper и управлять ими, предоставляя пользователям самое быстрое и самое безопасное облачное хранение. Хранящиеся и передающиеся данные полностью изолированы в глобальных центрах данных.
Обзор
Keeper Security, Inc. (KSI) серьезно относится к защите данных наших клиентов с помощью приложений Keeper для мобильных устройств и компьютеров. Миллионы частных лиц и организаций используют Keeper для защиты паролей и конфиденциальной информации и доступа к ним.
Приложения Keeper постоянно улучшаются и обновляются для реализации передовых систем защиты. На этой странице представлен обзор архитектуры системы безопасности, методов шифрования и среды хостинга Keeper для действующей версии. В этом документе приводится обзор технических характеристик шифрования и методов обеспечения безопасности.
Наша политика конфиденциальности и Условия использования доступны на веб-сайте по адресу:
Защита данных
Концепция «нулевого доверия» начинается с безопасности паролей. KSI создает свои продукты, используя модель безопасности с нулевым доверием, которая основана на недоверии любому пользователю в пределах архитектуры. Нулевое доверие предполагает, что все пользователи и устройства могут в принципе быть скомпрометированы, так что каждый пользователь должен быть проверен и аутентифицирован перед доступом на веб-сайт, в приложение или в систему. Эта модель безопасности служит фундаментом платформы кибербезопасности Keeper. Платформа предоставляет ИТ-администраторам полную видимость всех пользователей, систем и устройств, к которым они имеют доступ, что помогает обеспечивать соответствие отраслевым и нормативным требованиям. Чтобы иметь модель нулевого доверия в организации, необходимо иметь систему безопасности мирового уровня, поддерживаемую безопасной архитектурой с нулевым уровнем разглашения данных.
У KSI нет доступа ни к основному паролю клиента, ни к записям в хранилище Keeper. KSI не имеет возможности получить удаленный доступ к устройству клиента и не может дешифровывать его хранилище. Keeper Security имеет доступ только к адресу электронной почты пользователя, типу устройства и подробностям тарифного плана подписки (например, на резервное копирование Keeper). Если устройство пользователя не утеряно и не украдено, KSI может помочь в получении доступа к зашифрованной резервной копии, необходимой для восстановления хранилища пользователя после замены им устройства.
Ключи шифра, используемые для шифрования и дешифрования записи о клиентах, не хранятся в безопасном облачном хранилище Keeper и не передается в него. Однако для обеспечения синхронизации между несколькими устройствами зашифрованная версия этого ключа шифра хранится в безопасном облачном хранилище и предоставляется устройствам, зарегистрированным в аккаунте пользователя. Этот зашифрованный ключ шифра может быть дешифрован только на устройстве в целях последующего использования в качестве ключа шифра данных.
Стойкий мастер-пароль
Мы рекомендуем клиентам использовать стойкий мастер-пароль для учетной записи Keeper. Этот мастер-пароль не должен использоваться за пределами Keeper. Пользователи не должны передавать мастер-пароль другим лицам.
Двухфакторная аутентификация
Для защиты от несанкционированного доступа к вашему хранилищу, веб-сайтам и приложениям, Keeper также предлагает использовать двухфакторную аутентификацию. В методе двухфакторной аутентификации требуется наличие двух или более факторов аутентификации: фактора знания, фактора владения и фактора неотъемлемости. См. дополнительные сведения о двухфакторной аутентификации по этой ссылке.
Keeper использует фактор знания (ваш пароль) и фактор владения (ваш телефон) для повышения безопасности пользователей на случай компрометации мастер-пароля или устройства. Для этого мы формируем разовые пароли, действительные ограниченное время (TOTP).
Keeper формирует 10-байтный секретный ключ с использованием криптостойкого генератора случайных чисел. Этот код действует в течение примерно одной минуты и отправляется клиенту посредством SMS, Duo Security, RSA SecurID, приложения TOTP, Google Authenticator или носимых устройств, совместимых с Keeper DNA, таких как Apple Watch и Android Wear.
При использовании приложения TOTP или Google Authenticator на мобильном устройстве сервер Keeper формирует QR-код, содержащий ваш секретный ключ. Этот код никогда не передается третьим лицам. При каждой активации и деактивации двухфакторной аутентификации формируется новый секретный ключ.
Чтобы включить двухфакторную аутентификацию, откройте Keeper DNA или экран «Параметры» в приложении Keeper Web App. Клиенты Keeper Business могут при желании включить использование двухфакторной аутентификации для входа в хранилище и поддерживаемые методы двухфакторной аутентификации посредством функциональности принудительного применения в Keeper Admin Console.
Ключи безопасности FIDO (U2F)
Keeper поддерживает FIDO-совместимые аппаратные ключи безопасности U2F, такие как YubiKey, для использования на втором шаге двухфакторной аутентификации. Ключи безопасности предоставляют удобный и надежный способ выполнять двухфакторную аутентификацию без ручного ввода кодов из 6 цифр. Можно настроить несколько ключей для одного хранилища пользователя. Для платформ, не поддерживающих аппаратные ключи безопасности, можно использовать прежние способы двухфакторной аутентификации. Чтобы настроить ключ безопасности или другие способы двухфакторной аутентификации, перейдите на экран ‘Настройки’ в приложении Keeper.
Доступ в экстренном случае (цифровое наследие)
Keeper поддерживает возможность добавления до 5 контактов на экстренный случай, которым будет предоставлен доступ к хранилищу в экстренном случае или в случае смерти. По истечении установленного времени контакт на экстренный случай получит доступ к вашему хранилищу Keeper. Процесс совместного использования хранилища осуществляется по принципу нулевого разглашения, так что мастер-пароль пользователя никогда не передается другому пользователю. Алгоритм шифрования RSA используется для предоставления 256-разрядного ключа AES экстренному контакту по истечении времени ожидания, установленного страхующимся пользователем. Поэтому экстренный контакт должен иметь учетную запись (и оплаченный открытый/закрытый ключ RSA), чтобы принять приглашение стать контактом на экстренный случай.
Восстановление учетной записи
Во время регистрации учетной записи пользователей просят ввести контрольный вопрос и ответ на него. Также в ходе регистрации Keeper генерирует ключ данных, который используется для шифрования и дешифрования ключей записей, хранящихся с каждой из записей из хранилища. Ключ данных пользователя шифруется с помощью мастер-пароля, и каждый ключ записи шифруется с помощью ключа данных. Каждая запись в хранилище пользователя имеет свой отдельный ключ.
Восстановление учетной записи осуществляется благодаря хранению второй копии ключа данных пользователя, которая шифруется с помощью введенных контрольного вопроса и ответа на него. Для завершения восстановления хранилища пользователю требуется ввести проверочный код, отправленный на его адрес электронной почты, а также код двухфакторной аутентификации (если эта функция включена в учетной записи). Мы рекомендуем выбрать такой контрольный вопрос и ответ, которые практически невозможно подобрать или догадаться, а также включить двухфакторную аутентификацию Keeper, перейдя на экран ‘Настройки’. Двухфакторную аутентификацию для пользователей версии Keeper Business также можно включить посредством консоли администрирования Keeper.
Шифрование на стороне клиента
Данные шифруются и расшифровываются на устройстве пользователя, а не в Cloud Security Vault. Мы называем эту функцию клиентским шифрованием, поскольку все операции шифрования выполняются на устройстве (например, iPhone, Android, веб-приложение и др.). Cloud Security Vault используются для хранения необработанных двоичных файлов, бесполезных для злоумышленника. Даже в случае перехвата данных при передаче между клиентским устройством и Cloud Security Vault, злоумышленник не сможет расшифровать их или использовать для атаки.
Взлом симметричного 256-битного ключа потребует в 2 128 больше вычислительной мощности, чем взлом 128-битного ключа. В теории для перебора пространства 256-битных ключей потребуется 3×1051 лет.
Обмен записями
Каждый пользователь имеет пару 2048-битных ключей RSA, которая используется для обмена файлами. Общие записи хранилища зашифровываются с помощью открытого ключа получателя. Получатель дешифрует запись с помощью своего личного ключа. Это дает возможность пользователю делиться записями только с нужным получателем, так как только он может дешифровать его.
Формирование ключей
Keeper использует стандарт PBKDF2 с использованием алгоритма HMAC-SHA256 для преобразования мастер-пароля пользователя в 256-разрядный ключ шифрования за не менее чем 1000 проходов.
Ключ, созданный из мастер-пароля, не используется для непосредственного шифрования данных, вместо него используется другой ключ (ключ данных). Ключ данных используется для шифрования данных и других ключей, например закрытого ключа RSA.
Все ключи, которые не являются производными от мастер-пароля, формируются с помощью криптостойкого генератора случайных чисел на устройстве пользователя. В частности, подобным образом создаются ключ данных и пара ключей RSA. Поскольку ключи пользователей формируются на устройстве (а не в Keeper Cloud Security Vault), они недоступны Keeper.
Хранилище ключей
Все секретные ключи, которые должны передаваться в хранилище (например, закрытые ключи RSA каждого пользователя и ключ данных), шифруются перед сохранением или передачей. Все ключи могут быть расшифрованы только с помощью мастер-пароля пользователя. Поскольку у Keeper Cloud Security Vault НЕТ доступа к мастер-паролям, мы никак не сможем расшифровать ваши ключи или данные.
Безопасное облачное хранилище Keeper
«Безопасное облачное хранилище» означает проприетарное программное обеспечение и архитектуру сети KSI, которая физически хостится в инфраструктуре веб-служб Amazon (Amazon Web Services, AWS).
При синхронизации пользователем хранилища Keeper с другими устройствами, зарегистрированными в его аккаунте, зашифрованные двоичные данные передаются по зашифрованному туннелю SSL и хранятся зашифрованными в безопасном облачном хранилище Keeper.
История версий записей
Keeper поддерживает полностью зашифрованную историю версий каждой записи, хранящейся в хранилище пользователя, обеспечивая уверенность в том, что никакие важные данные не могут быть потеряны. Из клиентского приложения Keeper пользователи могут просматривать историю записей и выполнять восстановление любой индивидуальной записи в хранилище. Если хранимый в Keeper пароль изменен или удален, пользователи всегда имеют возможность выполнить восстановление из любой точки сохранения.
Keeper Business
Клиентам, купившим Keeper для бизнеса, предоставляется дополнительный уровень управления пользователями и устройствами. Администраторам Keeper предоставляется доступ к облачной панели администрирования, предоставляющей полное управление активацией и деактивацией пользователей, разрешениями на основе ролей, делегируемым администрированием, группами, интеграцией с Active Directory/LDAP, двухфакторной аутентификацией, единым входом и политиками безопасности. Политики Keeper на основе ролей полностью настраиваемые и масштабируемые к организациям любого размера.
Шифрование на уровне записей
На уровне шифрования каждая запись (например, пароль или учетные данные), хранящаяся на платформе Keeper, имеет уникальный идентификатор записи (Record UID). Каждая запись шифруется с ключом записи. Общие папки имеют ключ общей папки, каждая группа имеет ключ группы, и каждый пользователь имеет ключ пользователя. Каждая роль, требующая переносимости учетной записи пользователя, имеет ключ принудительного применения. Данные на устройстве пользователя шифруются с ключом пользователя. Ключ пользователя шифруется с мастер-паролем пользователя.
Записи добавляются в общую папку с помощью шифрования ключа записи с ключом общей папки. Записи напрямую предоставляются пользователю с помощью шифрования ключа записи с ключом пользователя. Пользователи добавляются в общую папку с помощью шифрования ключа общей папки с ключом пользователя. Группы добавляются в общую папку с помощью шифрования ключа общей папки с ключом группы. Пользователи добавляются в группу с помощью шифрования ключа группы с ключом пользователя.
Роли, группы, общие папки и делегированное администрирование
Keeper for Business предоставляет надежный и безопасный набор инструментов для управления организационными подразделениями, ролями, группами и общими папками. Мощные элементы управления Keeper обеспечивают самые надежные уровни безопасности, обеспечивающие доступ с наименьшим уровнем привилегий и полностью делегированное администрирование.
Для ролей, обеспечивающих переносимость учетной записи пользователя:
Ключ принудительного применения шифруется с ключом каждого администратора, которому разрешается осуществлять перенос.
(Примечание: отдельным группам администраторов можно назначить права переносимости отдельных групп пользователей.)
Ключи папки учетной записи генерируются (для пользователей, имеющих роли, к которым применяется принудительное применение переносимости учетной записи) и шифруются с ключом принудительного применения. Все записи и общие папки, предоставленные пользователю, имеют свои ключи, зашифрованные с помощью ключа папки учетной записи.
Перенос учетной записи осуществляется путем блокирования с последующим переносом и удалением учетной записи пользователя. Это гарантирует, что операция не выполняется тайно. Ключи папки учетной записи и метаданные позволяют расшифровать данные записи, но предоставляют прямого доступа. Таким образом, только после того, как записи были назначены отдельному пользователю, этот пользователь может пользоваться ими, и никакой другой пользователь не получает доступа.
Все шифрование выполняется на стороне клиента, и ни при каких обстоятельствах Keeper не имеет возможности расшифровать предоставляемую или переносимую информацию. Кроме того, ключ пользователя никогда не передается другому пользователю. Пользователь, удаленный из группы, общей папки или прямого обмена, не получит новых данных из группы, общей папки или записи. Таким образом, хотя ключ и компрометируется с отдельным пользователем, этот ключ больше не пригоден для получения доступа к данным.
К частям иерархического дерева может назначаться несколько административных привилегий, что позволяет участникам, получившим привилегированную роль, совершать операции на консоли администрирования Keeper.
Политики принудительного применение со стороны сервера и со стороны клиента могут также применяться к ролям, чтобы предписывать поведение клиента для групп отдельных пользователей.
Группы позволяют легко предоставлять общие папки группам пользователей.
Keeper Bridge для Active Directory / LDAP
Keeper Bridge интегрируется с серверами Active Directory и LDAP в целях инициализации и обеспечения пользователей. Соединение Keeper Bridge сначала авторизуется администратором, имеющим право управления мостом. Для всех последующих генерируется ключ передачи, и он предоставляется Keeper. С помощью ключа передачи осуществляется авторизация всех операций, выполняемых мостом, за исключением инициализации моста. Ключ передачи может быть снова сгенерирован в любой момент, и его ротация происходит автоматически каждые 30 дней.
Ключ передачи используется только для передачи, что означает, что скомпрометированный ключ может быть снова инициализирован или отозван без какой-либо потери данных или разрешений.
Keeper Bridge не может предоставлять привилегий ролям и пользователям. Он может добавить пользователя к привилегированной роли, если не требуются никакие ключи принудительного применения. Keeper Bridge не может поднять себя или пользователя над той частью дерева, которой он управляет. Не все операции доступны для Bridge, например, Bridge может отключить активного пользователя, но не может удалить его. Администратор должен решать, что далее делать с пользователем: удалить или перенести его.
Аутентификация единого входа (SAML 2.0)
SSO Connect ® Cloud
Keeper SSO Connect ® Cloud предоставляет клиентам Keeper Enterprise метод аутентификации пользователей и дешифрования данных, хранимых в зашифрованном хранилище с нулевым разглашением, с аутентификацией, предоставляемой через стороннего поставщика удостоверений (IdP) с использованием стандартных протоколов SAML 2.0 в полностью облачной среде.
В этой реализации пользователь может пройти аутентификацию через своего поставщика удостоверений SSO, а затем расшифровать зашифрованный текст своего хранилища локально на своем устройстве. Каждое устройство имеет собственную пару открытого/закрытого ключа эллиптической криптографии (EC) и зашифрованный ключ данных. У каждого пользователя есть собственный ключ данных. Чтобы войти на новое устройство, пользователь должен использовать существующие устройства для подтверждения нового устройства, или администратор с соответствующими полномочиями может подтвердить новое устройство.
Важность этой возможности заключается в том, что пользователь может расшифровать свое хранилище с помощью зашифрованного ключа, хранящегося в облаке Keeper. Принцип нулевого разглашения сохраняется, поскольку облако Keeper не может расшифровать ключ данных пользователя на его устройстве. Ключ данных (DK) пользователя расшифровывается с помощью закрытого ключа устройства (DPRIV), а зашифрованный ключ данных (EDK) предоставляется пользователю только после успешной аутентификации у назначенного им поставщика удостоверений (например, Okta, Azure, AD FS).
Для пользователей SSO Connect ® Cloud закрытый ключ эллиптической криптографии (EC) создается и хранится локально на каждом устройстве. Для веб-браузеров на основе Chromium в хранилище Keeper хранится закрытый ключ EC локального устройства (DPRIV) как неэкспортируемый CryptoKey. На устройствах iOS и Mac ключ хранится в Keychain устройства. Где возможно, Keeper использует механизмы безопасного хранения.
Закрытый ключ устройства не используется непосредственно для шифрования или дешифрования данных хранилища. После успешной аутентификации от поставщика удостоверений отдельный ключ (который не хранится) используется для расшифровки данных хранилища. Автономное извлечение закрытого ключа локального устройства не может расшифровать хранилище пользователя.
Различные устройства/платформы имеют разные уровни безопасности, поэтому для обеспечения оптимальной безопасности мы рекомендуем использовать современный веб-браузер на основе Chromium.
В качестве общей защиты от атак на взломанные устройства мы также рекомендуем, чтобы все устройства (например, настольные компьютеры) были защищены шифрованием на уровне диска и новейшим программным обеспечением для защиты от вредоносных программ.
Подтверждение устройств в SSO
Чтобы войти на новое устройство, пользователь должен использовать существующие устройства для подтверждения нового устройства, или администратор с соответствующими полномочиями может подтвердить новое устройство. Новые устройства генерируют новый набор открытых/закрытых ключей, а подтверждающее устройство шифрует ключ данных пользователя с помощью открытого ключа нового устройства. Ключ зашифрованных данных (EDK) нового устройства предоставляется запрашивающему пользователю/устройству, а затем пользователь может расшифровать свой ключ данных, который затем расшифровывает данные хранилища пользователя. В расшифрованных данных хранилища пользователь может расшифровать другие свои закрытые ключи шифрования, такие как ключи записи, ключи папок, ключи группы и т. д.
Важность этой возможности заключается в том, что пользователь может расшифровать свое хранилище с помощью зашифрованного ключа, хранящегося в облаке Keeper, и не требуются какие-либо локальные или размещаемые пользователем службы приложений для управления ключами шифрования. Нулевой уровень разглашения сохраняется, поскольку облако Keeper не может расшифровать ключ данных пользователя на его устройстве. Ключ данных пользователя расшифровывается с помощью закрытого ключа устройства (DPRIV), а EDK предоставляется пользователю только после успешной аутентификации у назначенного им поставщика удостоверений (например, Okta, Azure, AD FS).
Keeper SSO Connect ® на месте
SSO Connect ® On-Prem представляет собой локальную интеграцию, для которой требуется сервер приложений на Windows или Linux. Чтобы поддержать архитектуру безопасности с нулевым уровнем разглашения данных, программное обеспечение Keeper SSO Connect ® должно быть установлено на сервере клиента. Среды Windows, Mac и Linux полностью поддерживаются в рабочих режимах выравнивания нагрузки с высокой степенью готовности.
BreachWatch
BreachWatch постоянно сканирует записи Keeper в плане взлома публичных сайтов и предупреждает пользователей. BreachWatch имеет архитектуру с нулевым разглашением данных, в которой используется ряд эшелонированных методов для защиты информации наших пользователей. В итоге:
Рисунок 1. Путь хэшированных данных паролей пользователей через BreachWatch. На серверах BreachWatch хранятся только пароли, защищенные модулями HSM и неэкспортируемым ключом. Пользователи BreachWatch используют анонимизированые идентификаторы при взаимодействии с серверами BreachWatch.
С целью создания безопасной службы Keeper делит BreachWatch на три службы: для проверки доменов, имен пользователей, паролей и пар «имя пользователя + пароль». Клиентское приложение Keeper связывается с каждой из этих служб, используя шифрованный REST API.
Сканирование доменов
Пользователи BreachWatch загружают список взломанных доменов и осуществляют локальную проверку.
Сканирование имен пользователей и паролей
Клиентское устройство соединяется с BreachWatch и передает список хэшированных имен пользователей (или паролей) наряду со случайно выбранным идентификатором (отдельные идентификаторы для служб, проверяющих имя пользователя и пароль). Эти хэши паролей обрабатываются при передаче с помощью механизма HMAC, используя аппаратный модуль безопасности (HSM) и секретный ключ, хранящийся в HSM и помеченный как неэкспортируемый (что означает, что HSM будет обрабатывать HMAC только локально и ключ нельзя извлечь). Эти данные, полученные от HMAC (имена пользователей или пароли) сравниваются с данными из баз данных взломанных учетных записей, которые были обработаны с тем же HMAC и ключом. Обо всех совпадениях сообщается на клиентское устройство. Все несовпавшие данные сохраняются наряду с анонимизированным идентификатором клиента.
По мере того, как взломанные имена пользователей и пароли добавляются в систему, они обрабатываются с помощью HMAC на HSM, добавляются в набор данных BreachWatch и сравниваются с хранимыми клиентскими данными. При любых совпадениях генерируется предупреждение для соответствующего клиентского идентификатора.
Клиентские устройства периодически обращаются к BreachWatch, сообщая свои идентификаторы BreachWatch. Все сгенерированные ранее сообщения загружаются на клиентские устройства, и клиентские устройства передают все новые или измененные имена пользователей и пароли, которые обрабатываются тем же образом.
Безопасность служб BreachWatch обеспечивается по принципу доверия при первом использовании (TOFU). Иными словами, клиентские устройства должны предполагать, что сервер BreachWatch не является вредоносным (то есть, не скомпрометирован злоумышленником), когда клиентское устройство передает хэшированные данные. Как только эти данные обработаны с HSM, они становятся защищенными от попыток оффлайн-взлома. Иными словами, если злоумышленник и украдет набор данных хранимых клиентских данных, он не сможет взломать эти данные в режиме оффлайн без ключа HMAC, хранящегося в HSM.
Если обнаружен взлом пароля, клиентское устройство отправляет хэш комбинации имя пользователя+пароль на серверы BreachWatch, которые затем проводят то же сравнение хэшей с механизмом HMAC, чтобы определить, не взломана ли комбинация имя пользователя+пароль. Если это так, на клиентское устройство возвращаются домены, связанные с этими взломами, так что клиентское устройство может определить, совпадает ли вся комбинация имя пользователя+пароль+домен. Если все три параметра совпали на клиентском устройстве, пользователь предупреждается о серьезности взлома.
BreachWatch Business
Когда BreachWatch активируется для сотрудников компаний и крупных предприятий, хранилища конечных пользователей сканируются автоматически всякий раз, когда они входят с Keeper. Сводные данные BreachWatch, просканированные на устройствах пользователей, шифруются с помощью открытого ключа предприятия и дешифруются администратором крупного предприятия при входе в консоль администрирования Keeper. Эта зашифрованная информация включает в себя адрес электронной почты, число записей с высоким риском, число решенных проблем с записями и число проигнорированных предупреждений о записях. Администратор Keeper может видеть сводную статистику на уровне отдельных пользователей с пользовательского интерфейса консоли администрирования.
Регистрация событий и отчетность
При интеграции с модулем расширенной отчетности и предупреждений устройства конечных пользователей Keeper могут быть также настроены так, чтобы передавать подробные данные реального времени о событиях в сторонние решения SIEM и на интерфейс отчетности в консоли администрирования Keeper. Данные о событии содержат адрес электронной почты, пользовательский идентификатор записи (UID), IP-адрес и информацию устройства (в данные о событии не входят никакие расшифрованные данные записи, так как Keeper является платформой с нулевым разглашением данных и не может расшифровывать пользовательские данные).
По умолчанию подробные данные BreachWatch о событии не отправляются в модуль расширенной отчетности и предупреждений или в любую внешнюю подключенную систему регистрации. Чтобы активировать отчетность BreachWatch на уровне событий с отправкой данных в модуль расширенной отчетности и предупреждений, вы должны включить политику принудительного применения, перейдя на экран для конкретной роли > Настройки правил > Функции хранилища. После активации клиентские устройства конечных пользователей начнут отправлять эти данные о событиях. Информация о событиях, передаваемая из Keeper в целевую систему SIEM, становится читаемой благодаря интеграции со сторонними решениями SIEM и может быть использована для определения того, какие пользователи в пределах организации имеют пароли с высоким риском. Если администратор Keeper не хочет передавать данные о событиях на уровне записей в модуль расширенной отчетности и предупреждений Keeper, эту настройку можно отключить.
Офлайн-режим
Офлайн-режим позволяет пользователям иметь доступ к своим хранилищам, когда они не могут соединиться в режиме онлайн с Keeper или со своей системой единого входа. Эта возможность доступна в мобильном приложении Keeper, настольном приложении Keeper и расширена на бизнес-пользователей на популярных веб-браузерах.
Эта возможность осуществляется путем копирования хранилища на локальное устройство пользователя. Данные хранилища, хранящиеся в офлайн-режиме, шифруются алгоритмом AES-GCM с помощью 256-разрядного “клиентского ключа”, который генерируется случайным образом и защищен с помощью PBKDF2-HMAC-SHA512 с использованием до 100 000 итераций и случайной соли. Соль и итерации хранятся локально. Когда пользователь вводит свой мастер-пароль, ключ извлекается с помощью соли и итераций и осуществляется попытка дешифровать клиентский ключ. Затем клиентский ключ используется для дешифрования кэша хранящейся записи. Если защита путем самоуничтожения включена в хранилище пользователя, то после 5 неудачных попыток входа будут стерты все локально хранящиеся данные хранилища.
Сетевая архитектура
KSI использует Amazon AWS в Северной Америке, Европе и Австралии для конфиденциальности локализованных данных и географической сегрегации в целях размещения и эксплуатации решения и архитектуры Keeper. KSI использует Amazon AWS для размещения и эксплуатации решения и архитектуры Keeper. Использование Amazon AWS позволяет Keeper прозрачно масштабировать ресурсы по требованию и предоставить клиентам самую быструю и безопасную облачную среду хранения. KSI действует в многозоновой многорегионной среде для увеличения времени безотказной работы и предоставления заказчика минимального времени отклика.
Аутентификация сервера
Хранилище Keeper Cloud Security Vault защищается API-интерфейсом, который аутентифицирует каждый запрос с клиентского устройства. На клиентском устройстве генерируется 256-разрядный «ключ аутентификации» на основе мастер-пароля с использованием PBKDF2-HMAC-SHA256 и случайной «соли». «Хэш аутентификации» создается путем хэширования «ключа аутентификации» с помощью SHA-256. При входе хэш аутентификации сравнивается с хэшем аутентификации, хранимым в Cloud Security Vault. После входа токен сеанса генерируется и используется клиентским устройством для последующих запросов. Этот токен аутентификации должен возобновляться каждые 30 минут или по запросу сервера.
Шифрование на транспортном уровне
KSI supports 256-bit and 128-bit SSL to encrypt all data transport between the client application and KSI’s cloud-based storage. This is the same level of encryption trusted by millions of individuals and businesses everyday for web transactions requiring security, such as online banking, online shopping, trading stocks, accessing medical information and filing tax returns.
KSI отправляет сертификаты SSL/TLS, подписанные Digicert с использованием алгоритма SHA2, самого безопасного алгоритма подписи, предлагаемого сегодня коммерческими центрами сертификации. SHA2 существенно более надежен чем более широко используемый алгоритм SHA1, который может быть взломан из-за найденной в нем уязвимости. SHA2 помогает защититься от выпуска поддельных сертификатов, которые могут использоваться злоумышленниками для перенаправления на поддельный веб-сайт.
KSI также поддерживает Certificate Transparency (CT), новую инициативу компании Google, нацеленную на то, чтобы создать систему открыто проверяемых записей сертификатов, выданных центрами сертификации. CT помогает защищаться от выпуска сертификатов неуполномоченными центрами. CT сейчас поддерживается в самых последних версиях браузера Chrome. Более подробную информацию о Certificate Transparency можно найти по ссылке: https://www.certificate-transparency.org. В настоящий момент KSI поддерживает следующие наборы шифров TLS:
Привязывание ключей
Собственные клиенты Keeper поддерживают технологию привязывания публичных ключей HTTP Public Key Pinning (HPKP). Механизм безопасности HPKP позволяют веб-сайтам с протоколом HTTPS противостоять хакерам, использующим поддельные сертификаты.
Защита от атак посредством межсайтового скриптинга (XSS)
Веб-хранилище Keeper обеспечивает выполнение строгой политики безопасности контента, которая ограничивает происхождение исходящих запросов и препятствует выполнению всех скриптов, за исключением скриптов, явно исходящих от Keeper, включая встраиваемые скрипты и атрибуты обработки событий HTML, сокращая или устраняя большинство направлений атак посредством межсайтового скриптинга.
Доступ к доменным именам KeeperSecurity.com и KeeperSecurity.eu ограничен протоколом HTTPS с TLS v1.2 и обеспечивается принудительной активацией с помощью механизма HTTP Strict Transport Security. Это предотвращает атаки посредством анализа пакетов, модификации данных и перехвата сообщений и подмены ключей.
В браузерном расширении Keeper не предлагается пользователям входить в свои хранилища из зоны кадра страницы. Вход в хранилище осуществляется в пределах зоны панели инструментов браузерного расширения в браузере. Вход в хранилище на веб-браузере всегда происходит либо через домен KeeperSecurity.com или KeeperSecurity.eu, либо с панели инструментов браузерного расширения Keeper, которая существует вне страницы контента.
Браузерное расширение Keeper в Chrome, Firefox, Edge и Opera использует элементы iFrame для ввода данных записи на экранах входа веб-сайтов, чтобы гарантировать, что никакой вредоносный веб-сайт не имеет доступа к вводимому контенту. Контент записи, вводимый в элементы iFrame, также ограничен записями хранилища, хранимыми в хранилище пользователя, которые соответствуют домену целевого веб-сайта. Keeper не предлагает автоматически ввести учетные данные, если домен веб-сайта не соответствует полю домена веб-сайта из записи в хранилище Keeper.
Расширение для Internet Explorer использует отдельное окно нативного приложения для входа и доступа к записям. Эти отдельные окна не подвержены атакам XSS, поскольку они не доступны из браузера. Это позволяет расширению в Internet Explorer предоставлять окно для входа внутри страницы. Расширение не показывает записи, если записи не соответствуют адресу корневого домена веб-сайта.
Сторонние браузерные расширения могут иметь более высокий уровень разрешений в веб-браузерах и могут иметь доступ к информации внутри страницы. Поэтому рекомендуется, чтобы администраторы Keeper не допускали установку пользователями неодобренных сторонних браузерных расширений из соответствующих магазинов приложений для браузеров.
Связка ключей iOS и Touch ID ®
Touch ID и Face ID на устройствах iOS позволяют получить доступ к хранилищу Keeper с помощью биометрических данных. Чтобы можно было использовать эту удобную функцию, случайно сгенерированный 256-битный «биометрический ключ» хранится в Связке ключей iOS. Элемент Связки ключей iOS, созданный для этой функции, не предназначен для синхронизации со Связкой ключей iCloud и поэтому не покинет ваше мобильное устройство iOS.
Мы настоятельно рекомендуется использовать сложный мастер-пароль и включить многофакторную аутентификацию, чтобы обеспечить максимальную безопасность вашего зашифрованного хранилища Keeper. Использование Touch ID и Face ID делает более удобным использование сложного мастер-пароля на мобильном устройстве iOS. Также рекомендуется установить пароль длиной более 4 цифр для защиты Связки ключей iOS.
® » title=»Связка ключей iOS и Touch ID ® «>
Биометрика
Keeper изначально поддерживает Windows Hello, Touch ID, Face ID и биометрию Android. Клиенты, которые обычно входят в свое хранилище Keeper с помощью мастера-пароля или посредством единого входа (SAML 2.0), также могут входить на свои устройства с помощью биометрических данных. Биометрические данные должны быть разрешены администратором Keeper в ролевой политике. Автономный доступ также может быть обеспечен с помощью биометрических данных для пользователей с мастер-паролем и с единым входом, когда эта возможность активирована.
Когда на устройстве включен биометрический вход в систему, ключ генерируется случайным образом локально и сохраняется в защищенном анклаве (например, в связке ключей) устройства. Ключ данных пользователя шифруется биометрическим ключом. После успешной биометрической аутентификации ключ извлекается, и пользователь может расшифровать свое хранилище.
Apple Watch ®
Функция избранного Apple Watch позволяет просматривать избранные записи на подключенных часах Apple Watch. Записи Keeper должны быть явно включены для возможности просмотра на Apple Watch. Подключенные часы Apple Watch взаимодействуют с расширением Keeper для часов, работающем в своем выделенном замкнутом пространстве отдельно от приложения iOS Keeper. Расширение Keeper для часов также использует Связку ключей iOS в целях безопасного хранения и доступа к ключам, чтобы безопасно связываться с приложением iOS Keeper.
Keeper DNA ®
Соответствие требованиям и аудит
® » title=»Связка ключей iOS и Touch ID ® «> 
® » title=»Связка ключей iOS и Touch ID ® «>
Соответствие стандарту SOC 2
Записи клиента в хранилище защищены согласно строгим и тщательно контролируемым правилам внутреннего протокола. Keeper сертифицирован как соответствующий требованиям SOC 2 Type 2 общих условий Контроля обслуживающих организаций AICPA. Сертификация SOC 2 обеспечивает постоянную безопасность вашего хранилища путем реализации стандартных элементов контроля, как это определено общими условиями Принципов трастовых услуг AICPA.
Сертификация ISO 27001 (система управления информационной безопасностью)
Keeper имеет сертификат ISO 27001, распространяющийся на систему управления информацией Keeper Security, которая поддерживает платформу Keeper Enterprise. Сертификация Keeper ISO 27001 охватывает управление и работу цифрового хранилища и облачных служб, программное обеспечения и разработку приложения, а также защиту цифровых активов для цифрового хранилища и облачных служб.
Соблюдение норм GDPR
Keeper берет на себя обязательство вносить изменения и улучшения в свои бизнес-процессы и продукты, чтобы быть готовыми к GDPR к 25 мая 2018 г. Нажмите здесь, чтобы подробнее узнать о соответствии Keeper требованиям GDPR и загрузить соглашения на обработку данных.
Защита медицинских данных пациентов
Программное обеспечение Keeper отвечает мировым стандартам по защите медицинских данных пациентов, включая, без ограничения, HIPAA (Health Insurance Portability and Accountability Act) и DPA (Data Protection Act).
Соответствие требованиям и соглашение о деловом партнерстве HIPAA
Keeper является платформой с нулевым уровнем разглашения, имеющей сертификаты SOC2 и ISO 27001 и соответствующей требованиям HIPAA. Поддерживается строгое соответствие и контроль в отношении неприкосновенности частной жизни, конфиденциальности, целостности и доступности. Благодаря безопасной архитектуре Keeper не может расшифровывать, просматривать или иметь доступ к любой информации, включая ePHI, хранящейся в пользовательском хранилище Keeper. По упомянутым выше причинам Keeper не является ‘деловым партнером’ согласно определению HIPAA и поэтому не подпадает под действие Соглашения о деловом партнерстве HIPAA.
Чтобы подробнее узнать о дополнительных преимуществах для медицинских организаций и страховых компаний, прочтите весь документ ‘Раскрытие данных безопасности’ и посетите страницу Руководство для предприятий.
Тестирование на проникновение
Keeper проводит периодическое тестирование на проникновение с помощью сторонних экспертов, включая NCC Group, Secarma, Rhino Security, Cybertest и независимых исследователей в области безопасности, по отношению к продуктам и система Keeper. Keeper также имеет партнерские отношения с Bugcrowd для управления своей программой раскрытия уязвимостей.
Независимое тестирование безопасности и тесты на проникновение
KSI ежедневно тестируется службой McAfee Secure. Это гарантирует, что веб-приложение Keeper и KSI Cloud Security Vault защищены от всех известных эксплойтов, уязвимостей и DoS-атак. Печати McAfee Secure на сайте Keeper подтверждают ежедневное тестирование веб-сайта и веб-приложения Keeper, а также Cloud Security Vault.
Независимое комплексное сканирование системы безопасности сайта Keeper, веб-приложения Keeper и Keeper Cloud Security Vault ежемесячно проводится компанией McAfee Secure. Работники Keeper периодически организуют стороннее тестирование по запросу, которое проводится компанией McAfee Secure.
Обработка платежей и соответствие PCI
Решение KSI сертифицировано на соответствие PCI-DSS компанией McAfee Secure.
EU-US Privacy Shield
Веб-клиент Keeper, приложение для Android, приложение для Windows Phone, приложение для iPhone/iPad и браузерные расширения сертифицированы на соответствие программе EU Privacy Shield, программе EU-U.S. Privacy Shield и директиве Еврокомиссии по защите данных.
См. дополнительные сведения о программе EU Privacy Shield Министерства торговли США по адресу https://www.privacyshield.gov
Сертификат FIPS 140-2
Keeper использует модули шифрования, утвержденные по стандарту FIPS 140-2 в соответствии со строгим требованиям безопасности правительственного и государственного сектора. Шифрование Keeper было сертифицировано в рамках программы NIST CMVP и подтверждено в соответствии со стандартом FIPS 140 аккредитованными сторонними лабораториями. Keeper получил сертификат № 3976 согласно NIST CMVP
Экспортная лицензия Министерства торговли США на условиях EAR
Приложение Keeper Бюро промышленности и безопасности Министерства торговли США с номером ECCCN 5D992 согласно нормативам Export Administration Regulations (EAR).
Дополнительные сведения о EAR. https://www.bis.doc.gov
Ежедневный и круглосуточный удаленный мониторинг
Сторонней компанией проводится круглосуточный ежедневный мониторинг Keeper, обеспечивающий доступность нашего сайта и хранилища Cloud Security Vault по всему миру.
Если у вас есть какие-либо вопросы, связанные с безопасностью, свяжитесь с нами.
Фишинг и поддельные сообщения
Если вы получили сообщение, предположительно отправленное KSI, и не уверены в его легитимности, это может быть фишинговое сообщение с подложным адресом отправителя. В этом случае сообщение будет содержать ссылки на сайты, которые будут выглядеть как KeeperSecurity.com, но это будет не наш сайт. Веб-сайт может запросить ваш мастер-пароль Keeper Security или попытаться установить нежелательное ПО на вашем компьютере, украсть ваши личные данные или получить доступ к вашему компьютеру. Ссылки в других сообщениях могут указывать на другие потенциально опасные веб-сайты. Сообщение также может включать вложения, которые обычно содержат нежелательное (вредоносное) ПО. Если вы не уверены в легитимности полученного сообщения, удалите его, не нажимая ссылки и не открывая вложения.
Чтобы сообщить о сообщении о KSI, которое, по вашему мнению, является поддельным, или если у вас есть другие опасения, связанные с безопасностью, которые вы хотите донести до KSI, свяжитесь с нами.
Инфраструктура хостинга сертифицирована по самым строгим отраслевым стандартам
Веб-сайт и облачное хранилище Keeper работают в безопасной облачной инфраструктуре Amazon Web Services (AWS). Облачная инфраструктура AWS, используемая для размещения архитектуры Keeper, получила следующие аттестаты и сертификаты:
